Las 10 mejores habilidades de ciberseguridad con más demanda para 2021

La lista de habilidades de seguridad necesarias es larga y va en aumento. Lo que sigue son los impulsores de la demanda según la opinión de los expertos.

Jimmy Sanders tiene una lista larga de cosas para hacer, así que quiere disponer de un equipo de seguridad que pueda ocuparse de la variedad de tareas por delante, desde hacer avances en la estrategia de seguridad confianza cero de su empresa hasta proteger sus implementaciones en la nube que tienen como fin aplicar soluciones de aprendizaje automático.

Los miembros del equipo deben poder hacer todo eso a escala, como también cambiar de dirección y capacitarse tan rápido como cambien las necesidades de la empresa, evolucione la tecnología y se transformen los riesgos de seguridad.

De hecho, Sanders califica el «sentirse cómodo con los cambios» como una de las habilidades de mayor demanda para 2021, junto con el deseo interno y la capacidad para trabajar de manera autónoma.

Es mucho, admite.

«Hay una enorme demanda de personas que pueden hacer todo eso», comenta Sanders, director de seguridad para Netflix DVD y presidente de la sucursal de la Information Systems Security Association (ISSA) en San Francisco.

En realidad, la demanda de talentos en ciberseguridad sigue superando el suministro.

Un informe de julio de 2020 de la ISSA y del Enterprise Strategy Group (ESG) reveló que el 70 % de los miembros de la ISSA considera que la escasez de habilidades en ciberseguridad mundial ha afectado a su organización mientras que el Estudio de la fuerza laboral de ciberseguridad 2020 (ISC)2 descubrió que el 64 % de los profesionales en seguridad que respondieron experimentaron una escasez de habilidades dentro de sus propias organizaciones.

Pero estas estadísticas cuentan solo una parte de la historia.

Los líderes en seguridad afirman que no solo existe falta de personas calificadas para trabajar en el campo sino que también es difícil encontrar las habilidades necesarias entre el grupo de profesionales en seguridad actual.

Eso no es ninguna sorpresa si consideramos la larga lista de habilidades deseadas que se necesitan en la actualidad.

De hecho, los profesionales en seguridad necesitan más que una sola certificación o incluso experiencia en el uso de algunas herramientas clave. Necesitan cada vez más la combinación adecuada de varias habilidades de seguridad junto con conocimientos en tecnología, comercio y relaciones interpersonales, porque los empleos en seguridad se transforman en un paquete híbrido de roles que abarcan distintas disciplinas.

«Ha cambiado eso de que se buscaban personas especializadas en seguridad que hicieran una sola cosa, y solo una cosa, bien. Existen demasiadas amenazas y oportunidades que hacen que los sistemas queden comprometidos y usted no puede ser un profesional en seguridad efectivo si no cuenta con una gran base de conocimientos», comenta Will Markow, director general de Burning Glass Technologies, una empresa de análisis del mercado laboral, que emitió un informe en 2019 sobre la hibridación de los puestos de trabajo.

Las habilidades de seguridad de mayor demanda para 2021 reflejan esta tendencia, con directores de seguridad que dicen que necesitan personas que tengan experiencia en varios ámbitos para que manejar los entornos de seguridad y amenazas emergentes como también los requisitos empresariales en general.

Estas son las 10 áreas en las que más se necesitan estas habilidades a partir del próximo año, y por qué:

Identificación y gestión de riesgos

Jorge Rey, CISO para la empresa de servicios profesionales Kaufman Rossin, quiere profesionales en seguridad que entiendan tanto a la empresa como a la industria, por eso valora los índices de rotación bajos dentro de su departamento. Comenta que los miembros del personal con mayor antigüedad aportan los conocimientos empresariales que él necesita. Y esos conocimientos, cuando se combinan con capacidades técnicas y experiencia en ciberseguridad, los ayudan a identificar qué amenazas presentan los mayores riesgos para su empresa para que ellos puedan asignar correctamente recursos limitados para que brinden la mejor protección.

«La mejor manera de mitigar las amenazas es entender el riesgo», explica, «así que necesitamos personas con experiencia en gestión y estrategia que puedan determinar las mejores soluciones y que puedan encontrar la tecnología adecuada o el proveedor externo adecuado, o puedan crear la capacidad adecuada en la empresa».

Otros también mencionan la gestión de riesgos en los primeros lugares de la lista de habilidades deseadas para 2021, y Burning Glass la califica como una de las habilidades de seguridad que experimentará el crecimiento más rápido en demanda en los próximos cinco años y una que podría llevar a los profesionales a ganar más de $10,000 por año en concepto de pago de primas.

«Los CISO necesitan personal que puedan adoptar un enfoque basado en riesgos para crear una infraestructura digital segura», agrega Markow.

Fundamentos técnicos

Los CISO también están buscando personas con habilidades técnicas generales; y aclaran que no se pueden entender los riesgos ni elaborar planes de seguridad para un mundo digital si se desconocen los componentes de TI que conforman la infraestructura.

«Contar con habilidades en programación, administración de sistemas y redes es algo obligatorio y necesario… porque las habilidades de seguridad no sirven de nada si se carece de conocimientos fundamentales en los que basarse», explica Matthew Rogers, CISO de la empresa de tecnología Syntax.

La empresa de consultoría PwC también identificó los conocimientos en tecnología como una característica fundamental de los profesionales en seguridad, y mencionó que conocer los «elementos fundamentales digitales» es una de las tres áreas de experiencia clave (habilidades digitales, conocimientos empresariales y habilidades sociales) que se necesita para obtener un programa de seguridad efectivo.

Por lo tanto, Joe Nocera, socio y líder del Cyber & Privacy Innovation Institute en PwC, dice que los directores de seguridad desean contar con miembros del personal que entiendan tanto la arquitectura como los registros, el monitoreo, la gestión de identidades y la autenticación, además de tener experiencia en soluciones de seguridad y empresariales específicas.

Jack O’Meara, un CISO con antigüedad que ahora ocupa el puesto de director del equipo de soluciones de ciberseguridad en Guidehouse, una empresa de tercerización y asesoramiento tecnológico, está de acuerdo. «Quiero asegurarme de que las personas cuenten con experiencia práctica en las tecnologías específicas que estoy implementando. Tienen que tener conocimientos en cómo funciona la tecnología, porque de no ser así, nunca van a entender cómo un atacante puede aprovecharla», afirma.

Gestión y análisis de datos

El departamento de seguridad es uno de generadores de datos más grande de una empresa, y en muchas organizaciones, se está convirtiendo en uno de los mayores consumidores de datos también a medida que intenta usar la información para desarrollar estrategias de protección más efectivas y eficientes.

«Están intentando darle sentido a la enorme cantidad de datos que tienen, y las herramientas disponibles no serán suficientes», dice Brandon S. Dunlap, un socio líder de gestión de riesgos y seguridad en la empresa de investigaciones tecnológicas Gartner, y agrega que está viendo que cada vez más CISO contratan científicos de datos, ingenieros de datos y directores de datos.

DevSecOps

Cada vez más organizaciones se están alejando de DevOps para adherirse a DevSecOps en su búsqueda para incorporar consideraciones de seguridad en el diseño de aplicaciones y la etapa de implementación con el fin de obtener aplicaciones más seguras. Eso requiere de personas idóneas para el área de seguridad con conocimiento y experiencia en implementación y operaciones.

«En los últimos años, hemos aprendido que el riesgo de seguridad se encuentra en la aplicación en sí, así que necesitamos contar con un software que se haya desarrollado con seguridad desde el principio», dice Jeffrey Weber, director ejecutivo de la empresa de dotación de personal de TI Robert Half Technology.

Burning Glass ubica a la seguridad del desarrollo de aplicaciones en el puesto número 1 de las habilidades de crecimiento más rápido, con un aumento de la demanda esperado del 164 % en los próximos cinco años.

Nube

La adopción generalizada de la nube, y especialmente la aceptación creciente de la estrategia multinube, ha incrementado la demanda de profesionales en seguridad que tengan experiencia en implementaciones en la nube y puedan integrar eso con la estrategia de seguridad de la empresa. Rey, por ejemplo, dice que quiere contar con miembros del equipo que tengan experiencia en una o más plataformas en la nube pública (AWS, Azure, Google) como también en la arquitectura de la nube privada. «Cuando pienso en la seguridad en la nube, pienso en que requiere un poco de conocimiento en todo; se trata de desarrollar una red segura dentro de un entorno en la nube», comenta.

Automatización

En su informe de 2020, The Life and Times of Cybersecurity Professionals, ESG dice que la seguridad de las empresas puede recurrir a la automatización para ayudar a abordar la escasez de habilidades de ciberseguridad. Los expertos coinciden y explican que automatizar las tareas repetitivas genera eficiencia y mejora la efectividad, y al mismo tiempo se puede asignar a empleados valiosos a tareas más complejas que solo los seres humanos podemos hacer.

Aunque automatizar las funciones de seguridad requiere de profesionales en seguridad capacitados para implementar efectivamente soluciones de automatización.

Rey es uno de los CISO que cree que la automatización puede ayudar a cerrar la brecha en las habilidades, y dice que «cualquier persona que trabaje en el área de TI o seguridad debería contar con habilidades en automatización». Él quiere trabajar con personas que puedan identificar las tareas que puedan automatizarse y que puedan ocuparse de la automatización, usando Python, PowerShell o cualquier otro lenguaje de cifrado para conseguirlo.

Búsqueda de amenazas

La búsqueda de amenazas es una estrategia de seguridad relativamente nueva que está ganando popularidad a gran escala. Según una encuesta de 2020 del creador de soluciones de seguridad DomainTools, el 93 % de las organizaciones comentó que la búsqueda de amenazas debería ser la iniciativa de seguridad más importante para proporcionar detección temprana y reducir los riesgos. El creciente interés y la implementación de las prácticas de búsqueda de amenazas está aumentando la demanda de la correcta combinación de habilidades necesarias para completar el trabajo. Burning Glass la ubica en el puesto n.° 4 de habilidades con demanda de crecimiento más rápido.

Rick McElroy, socio de estrategias de ciberseguridad en la empresa de tecnologías de seguridad VMware Carbon Black, dice que se requieren habilidades de análisis, conocimientos en MITRE ATT&CK u otras metodologías similares, familiaridad con la oferta tecnológica de la empresa (es decir que «puedan identificar cuando algo ‘no tan bueno’ está ocurriendo») y una curiosidad intelectual para investigar los problemas. «Tienen que pensar como un atacante; tienen que preguntarse: ¿cómo evitaría un atacante mis defensas?» dice McElroy.

Habilidades interpersonales

La función de ciberseguridad se ha vuelto no solo más imprescindible con el aumento de la economía digital sino también más destacada. Eso ubica a los profesionales en seguridad por delante del cuerpo directivo, los miembros de la junta y los empleados con mayor frecuencia. Así que, deben poder colaborar, comunicarse y consultar con todas estas partes interesadas, lo que convierte a esas y otras habilidades interpersonales en un producto de gran cotización. «Es casi una función de ventas, poder presentarse ante todos los niveles diferentes de la organización y transmitir lo que tienen que hacer para proteger a la organización», dice Gary Todd, director adjunto de ciberseguridad para la empresa de energía PNM Resources.

Conocimientos empresariales

La CISO Joanna McDaniel Burkey de HP quiere estar acompañada por trabajadores que entiendan la empresa, que hablen en términos empresariales y se perciban a sí mismos como empresarios y técnicos. Dice que los profesionales en seguridad necesitan estas habilidades para que puedan ayudar a gestionar los riesgos, que es el principal objetivo del equipo de seguridad moderno.

Los profesionales en seguridad deben ayudar a sus organizaciones a encontrar el equilibrio entre la seguridad y los costos, las demandas del mercado y otras métricas de la empresa. «Me refiero a esto como ‘polaridades para gestionar’ en lugar de buscar equilibrios», dice. «Necesitamos ver ambos lados de los problemas, tenemos que ponernos en sus zapatos, y así podremos cocrear perfectamente con las partes interesadas».

Agilidad

Según el estudio de la fuerza laboral de 2020 (ISC)², el 30 % de las personas que respondieron notaron que sus organizaciones pasaron a disponer de una fuerza laboral remota en apenas un día como resultado de la pandemia de COVID-19, mientras que a otro 47 % les llevó solo entre varios días y una semana hacer el cambio (solo el 16 % necesitó más de una semana). Los expertos no anticipan que estas transformaciones repentinas en el lugar de trabajo se vuelvan la norma, pero sí esperan que el ritmo de cambios tecnológicos y empresariales siga acelerándose.

La seguridad tiene que mantenerse al día. «El COVID trajo un conjunto de fraudes y ataques, y una manera de trabajar totalmente nuevos», afirma E.J. Widun, que en su carácter de CTO del condado de Oakland, Mich., trabaja con el equipo de seguridad. «El COVID nos mostró que necesitamos personas que tengan la habilidad de adaptarse, y de hacerlo rápido».